配置NETGEAR三层交换机(FSM7326P,FSM7328S,FSM7352S,GSM7312,GSM7324)的 ACL访问控制列表
1 网络连接示意图
2 NETGEAR交换机ACL配置预完成目标;
- 预实现FSM726交换机的VLAN4不能与FS526T交换机上的VLAN2通信。但可以进行互联网的访问。
- FS526交换机上的VLAN2可以访问FSM726交换机上的VLAN5
- 允许其他的传输
- 测试环境以PING作为检查相互访问的方式.
3. 交换机配置准备
使用网络连接分别连接NETGEAR系列智能交换机、FSM700系列交换机、GSM7000系列交换机和路由器.(此处以FS526T智能交换机、FSM726交换机和GSM7324交换机为例)
3.1 交换机连接端口对应关系表
连线对应 |
GSM7324 |
FS526T |
FSM726 |
Firewall(FR328S) |
端口位置1 |
1 |
25 |
|
|
端口位置2 |
24 |
|
25 |
|
端口位置3 |
11 |
|
|
LAN Port |
3.2 交换机VLAN与所属于端口对应关系表
连线对应 |
GSM7324 |
FS526T |
FSM726 |
Default |
1-24 |
25,26 |
25,26 |
VLAN2 |
1 |
1-12,25 |
|
VLAN3 |
1 |
12-24,25 |
|
VLAN4 |
24 |
|
1-12,25 |
VLAN5 |
24 |
|
13-24,25 |
3.3 IP地址预规划
VLAN1(Default Vlan):管理用网段,
GSM7324: 192.168.0.238/24
FS526T: 192.168.0.239/24
FSM726 : 192.168.0.240/24
FR328S:192.168.0.1/24
VLAN2:192.168.10.10/24;
VLAN3:192.168.40.10/24;
VLAN4:192.168.20.10/24
VLAN5:192.168.30.10/24;
FR328S LAN Port: 192.168.0.1/24
3.4 基本的VLAN和路由配置参考NETGEAR 交换机VLAN和IP路由配置和管理
4配置NETGEAR三层交换机的ACL访问控制列表
GSM7324配置步骤
4.1 实现2 预完成目标的第1项内容的配置
- 连接配置计算机的网线到GSM7324的端口10,IP地址设置为192.168.0.36/24。
- 打开IE浏览器,在URL处输入http://192.168.0.238/,进入交换机配置管理界面。
- 点选菜单Traffic Management>ACL>config ;在ACL Configuration界面里进行选择配置;(见下图示)
ACL :Create New Extended ACL
ACL ID: 100
Slot.Port: 0.1
Direction: Inbound
选择完毕,点“Submit”按纽保存。
4.点选菜单Traffic Management>ACL>Rule config ;在ACL Rule Configuration界面里进行选择配置;
ACL : 100
Rule : Create Rule
Rule ID: 1
Action: Permit
Match Every: False
选择完毕,点“Submit”按纽继续下个页面的配置。
5.在随后出现的配置页里,选择并输入相关的信息。(见下图示)
ACL:100
Rule:1
Action : Deny ; 点击”Configuration”按纽将Permit设置修改为Deny
Protocol keywork::ICMP点击”Configuration”按纽选择协议类型,此处为了方便测试,选择了ICMP方式;
Source IP Address: 192.168.10.0 /24 ;
点击“Configuration”按纽填入源IP: 192.168.10.0
Destinnation IP Address: 192.168.20.0 /24 ;
点击“Configuration”按纽填入目的IP: 192.168.20.0
6.随后下拉Rule栏目,选择Create Rule ; 在ACL Rule Configuration界面里进行新的规则的定义配置;(见下图示)
ACL : 100
Rule : Create Rule
Rule ID: 2
Action: Permit
Match Every: False
选择完毕按”submit”键进行下一步配置
7. 进到规则2的配置页里,选择并输入相关的信息。(见下图示)
ACL:100
Rule:2
Action : Permit ;
Protocol keywork: ICMP点击”Configuration”按纽选择协议类型,此处为了方便测试,选择ICMP方式;
Source IP Address: 192.168.10.0 /24 ;
点击“Configuration”按纽填入源IP: 192.168.10.0
Destinnation IP Address: 192.168.30.0 /24 ;
点击“Configuration”按纽填入目的IP: 192.168.30.0
8. 创建规则3; 当交换机无法匹配规则1,2时,将允许其他的传输.
ACL:100
Rule:3
Action : Permit
Match Every: True;
9. 连接计算机到VLAN4 ,计算机地址修改为192.168.20.11/24; 网关192.168.20.10, 在DOS窗口PING VLAN2内的计算机的IP地址。
10. 测试显示结果,VLAN4内的计算机是无法PING通VLAN2内的机器的.
但是VLAN2内的计算机,是可以Ping 通VLAN5内的计算机.
4.2 命令行操作如下
1)在Config的模式下面设置ACL
(GSM7324) (Config)access-list 100 deny icmp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
(GSM7324) (Config)access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
(GSM7324) (Config)access-list 100 permit every
2)在interface 0/1里面设置ACL应用
(GSM7324) (Interface 0/1)ip access-group 100 in
|